企业信息安全措施范文

导语：如何才能写好一篇企业信息安全措施，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

关键词：企业管理　企业信息管理　安全措施

全球经济一体化趋势的不断增强，使得企业之间的竞争日益激烈，企业之间的空间也越来越小，在这种竞争形势下，企业的经营方式和管理方式也随之发生了变化。同时，我们也应当意识到，这种个变革促进了企业的信息化管理的进程，同时也使得企业与外部信息网络的沟通方式得到了拓宽，企业内部的人与人、人与物的沟通方式也得到了优化，与此同时，企业信息管理的安全问题也逐渐受到了越来越多的重视。

一、企业信息管理

企业信息管理指的就是通过现代化的信息技术和设备，以网络技术和网络设备实现企业管理的自动化，进而对企业进行全方位和多角度的管理，以此来促进企业物流和能源流的优化配置，进而通过企业资源的开发和信息技术的有效利用来提高企业的管理水平，增强企业的核心竞争力。企业信息管理的主要内容，一般包括企业未来的经济形势分析、预测资料、资源的可获量、市场和竞争对手的发展动向，以及政府政策与政治情况的环境变化等等。企业信息管理与制订企业发展战略、制订规划、合理地分配资源是密切相关的。同时，企业的信息管理也应当包括企业内部的信息资源，如财务管理信息、库存、产品设计、职工档案管理等多方面的内容，并且促进企业的全面发展。

二、企业信息安全管理的必要性

企业信息的存在方式有着多样性，而进行企业安全信息管理的主要目的，在于保护企业的信息安全，保证企业能够顺利的参与到市场经济活动中，进而提高企业的经济效益和社会效益。企业信息安全管理主要有三个特点：

1.保密性

企业安全信息只有被授权的人才能够进行访问，具有较强的保密性。

2.完整性

信息本身和信息处理方法具有一定的准确性和完整性，才能够确保企业信息管理的有效性。

3.可用性

企业安全信息具有一定的可用性，需要时可以通过授权用户实现对信息的访问。企业的安全信息管理能够通过有效的控制措施来实现，前提是充分认识到企业信息安全管理的必要性。第一，企业管理的信息具有很强的保密性和完整性的特点，因此其对于企业的资金流动、企业的综合竞争力等多方面都有着重要的影响，同时对于企业的商业形象与合法经营也至关重要，因此加强企业信息安全管理是必要的。第二，由于网络自身所具有的开放性特性，决定了企业信息管理也面临着来自各方面的安全威胁，比如计算机病毒、黑客等，以及计算机诈骗、泄密等问题，也说明了加强企业信息安全管理势在必行。第三，企业对于信息系统产生的依赖也从另一方面暴露出了信息管理系统的脆弱，公共网络与私人网络的连接增强了信息的控制难度，使得信息在分散化的管理模式下，集中、专业控制的有效性大大的减弱。另外，由于很多信息管理系统设计的缺陷，其自身就存在着不合理之处，这对于信息安全管理也带来了一定的难度。基于此，对于企业信息管理的安全性也成为了当前企业管理面临的一个重大课题。

三、企业信息管理的安全防范措施

1.不断完善的信息管理系统

信息管理系统的投入和使用，是建立在充分的实践经验的基础上，通过一段时间的运行和观察，才能够投入使用。在不同的部门进行信息系统的引入时，应当按照部门的实际情况，通过多方引进，使用统一的信息管理系统。对于信息安全来说，首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理，并且赋予不同等级的用户不同的使用权限，这样则能够有效的防止无权访问信息的用户对核心区域的访问，保证信息不会被盗用。

2.有效的设备管理

对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录，通过这些记录，定期对设备进行维护，同时也能够通过这些信息判断出信息的使用效率以及运行情况，对于设备的损坏或者是丢失情况都能够及时的了解。

3.加强对人员的监督与管理

人是设备的主要操作者，因此对于信息的安全管理，就需要加强对人的管理，这就需要操作人员具有足够的安全意识，对于每一位操作人员都应当进行相关的培训，对于唯一的用户名和密码等信息要进行妥善额保管，同时让操作人员了解到泄密会导致的严重后果，增强责任意识。同时，要加强对各种票据的管理，对于票据的领用，相关人员要做好登记，同时要保留相吻合的票据号码，用来存档。通过不断的加强过程管理，通过对每个细节的严密审查，能够有效的减少浑水摸鱼的现象，同时通过科学的评价机制和激励机制，刺激人员工作的积极性，加强自身的责任意识。

4.多方研发和推广网络信息处理系统

网络信息处理系统是在网络计算技术的基础上， 结合实现电子商务管理为方向。在可以提供互联网环境下的管理方式、信息处理模式和别的各种功能的信息处理系统。网络管理作为INTERNET与电子商务环境下信息处理系统的主流发展方向。跟传统信息处理系统相比， 网络系统还要有着各类辅助作用。

四、结束语

在现代市场经济条件下，企业能够对信息实施有效的安全管理，对于企业的综合竞争力，有着重要的影响。而企业信息管理的安全性，主要与企业的信息安全管理体制是否完善、是否具有与企业文化相符合的信息安全管理办法以及科学的评估方法等因素有着直接的关系，因此，企业应当不断的加强对信息的安全管理，不断提高企业的管理效率，以此促进企业实现持续、稳定的发展。

参考文献

[1]黄国忠.企业信息安全风险自评估模型研究[D].浙江大学管理学院 浙江大学：管理科学与工程,2008.

[2]陈丽霞,杨超.基于Web的企业信息管理系统安全方案[J].电脑知识与技术,2008(25).

[3]翟俊.企业信息管理系统建设的现存问题与对策简析[J].计算机光盘软件与应用,2011(17).

篇2

关键词：信息系统安全；防火墙技术；防范

随着计算机技术与通信技术的飞速发展，信息安全已成为制约企业发展的瓶颈技术，进而使得企业对信息系统安全的依赖性达到了空前的程度，但是企业在享受着信息系统给公司带来巨大经济效益的同时，也面临着非常大的安全风险。一旦企业信息系统受到攻击而遭遇瘫痪，整个企业就会陷入危机的境地。特别是近几年来全球范围内的计算机犯罪，病毒泛滥，黑客入侵等几大问题， 使得企业信息系统安全技术受到了严重的威胁。因此，这就使得企业必须重新审视当前信息系统所面临的安全问题， 并从中找到针对企业的行之有效的安全防范技术。为此，笔者首先分析了现代企业所面临的信息系统安全问题，然后提出了企业应当采取的相应防范措施。

1企业信息系统所面临的安全威胁

企业在信息系统的实际操作过程中，威胁是普遍存在且不可避免的。一般来说威胁就是企业所面临的潜在的安全隐患。个人电脑只通过一个简易的应用便可以满足普通用户的要求，但是企业的信息系统一般都要充当多个角色，基本上都得为多个部门提供服务，其中任何一个局部的隐患都可能给整体的安全性带来致命的打击。正是由于企业信息安全系统本身所固有的这些缺陷，必然会导致病毒与黑客的容易盛行。目前，影响企业系统安全的因素各种各样，但是其主要的威胁可以归结为以下几个方面：

①黑客的蓄意攻击：随着信息技术的普及，企业一般都会利用互联网接入来加速提高本公司业务与工作绩效，黑客的恶意攻击行为无疑会成为阻碍这一进程发展最大也最严重的威胁。其中，有来自竞争公司的幕后黑手，或者来自对本企业有怨恨情绪的员工，以及对该企业持不满态度的顾客等，出于不同目的或报复情绪都可能对企业网络进行破坏与盗窃。另外，一个更严重的问题——网络敲诈，正有逐步提升的趋势。许多不法分子利用木马、病毒、间谍软件，或者dos 攻击等非法方式对企业网络进行破坏或盗用企业数据，并以此作为向企业敲诈勒索的交换条件，由于大部分企业普遍存在着信息安全环等薄弱问题，因此很多企业都成为这种违法行为最大的受害者。

②病毒木马的破坏：现今的互联网已基本成为了一个病毒肆虐生长繁殖的土壤，几乎每一天都会有上百种新的病毒或者木马产生，而在很大部分企业中，安全技术不足，管理设备松散、员工安全意识淡薄等问题的存在进一步滋长了病毒、蠕虫、木马等的危害，严重时甚至有可能造成整个企业网络的瘫痪，导致企业业务无法正常进行。

③员工对信息网的误用：如企业技术员工由于安全配置不当引起的安全漏洞，员工安全意识薄弱，用户密码选择不恰当，将自己的账户名与口令随意告诉他人或与别人共享都会对信息系统安全带来威胁。

④技术缺陷：由于当前人类认知能力和技术发展的有限性，要想使硬件和软件设计都达到完美没有缺陷，基本上不可能。其次，网络硬件、软件产品多数依靠进口等这些隐患都可能可造成网络的安全问题。

2企业信息系统安全运行的防范措施

企业信息系统安全运行的防范措施是企业信息系统高效运行的方针，其能在很大程度上确保信息系统安全有效的运行。相应的企业安全运行的措施一般可以分为以下几类：

①安全认证机制：安全认证机制是确保企业信息系统安全的一种常用技术，主要用来防范对系统进行主动攻击的恶意行为。安全认证，一方面需要验证信息发送者的真实性，防止出现不真实;另一方面可以防止信息在传送或存储过程中被篡改、重放或延迟的可能。一般来说，安全认证的实用技术主要由身份识别技术和数字签名技术组成。

②数据的加密以及解密：数据的加密与解密主要是用来防止存储介质的非法被窃或拷贝，以及信息传输线路因遭窃听而造成一些重要数据的泄漏，故在系统中应对重要数据进行加密存储与传输等安全保密措施。加密是把企业数据转换成不能直接辨识与理解的形式;而解密是加密的逆行式即把经过加密以后的信息、数据还原为原来的易读形式。

③入侵检测系统的配备：入侵检测系统是最近几年来才出现的网络安全技术，它通过提供实时的入侵检测，监视网络行为并进而来识别网络的入侵行为，从而对此采取相应的防护措施。

④采用防火墙技术：防火墙技术是为了确保网络的安全性而在内部和外部之间构建的一个保护层。其不但能够限制外部网对内部网的访问，同时也能阻止内部网络对外部网中一些不健康或非法信息的访问。

⑤加强信息管理：在企业信息系统的运行过程中，需要要对全部的信息进行管理，对经营活动中的物理格式和电子格式的信息进行分类并予以控制，将所有抽象的信息记录下来并存档。

3结语

总之，企业信息系统的安全问题将会越来越得到人们的重视，其不但是一个技术难，同时更是一个管理安全的问题。企业信息系统安全建设是一个非常复杂的系统工程。因此，企业必须综合考虑各种相关因素，制定合理的目标、规划相应的技术方案等。笔者相信，信息安全技术必将随着网络技术与通信技术的发展而不断得到完善。

参考文献

[1]肖雪.计算机网络安全的研究[J].科技创新导报，2008，(20):27．

[2]张宗府.电子政务建设的安全对策研究[J].科技创新导报，2008，(9).

篇3

论文摘要：分析电力企业信息网络的脆弱的因素。详细阐述威胁电力企业网络安全的主要行为。概括有恶意人侵、恶作剧式的网络捣乱行为、网络病毒的传播、恶意网页和软件漏洞等方面。最后提出了电力企业网络基本安全防护措施。

网络安全是一个系统的概念，可靠的网络安全解决方案必须建立在集成网络安全技术的基础上，比如系统认证和各类服务授权，数据库的加密及备份，访问及操作的控制等。但是，通过对现有电力网络的粗略调查，发现网络本身的脆弱性才是现有电力网络安全的最大威胁。

1威脸电力企业网络安全的行为

    网络本身存在的脆弱性，导致了众多威胁电力企业网络安全的行为。

1.1恶意入侵

    我相信我们可以在我们的电力企业网络上，找到很多我们需要的资料，包括机密度很高的资料。所以，想得到这些资料的人，会通过网络攻击人侵来达到目的。网络攻击人侵是一项系统性很强的工作，主要内容包括:目标分析;文档获取;密码破解;登陆系统、获取资料与日志清除等技术。正像前文提到的一样，我们的网络安全形势真的是不容乐观，所以，这种恶意人侵的行为，在电力企业网络中变得相对简单了许多。密码的获得，简直容易之至，因为有些就是空。当人侵者得到了密码之后，就可以很方便的与该机器建立连接，得到机器上的资料轻而易举，且不留痕迹。

1.2恶作剧式的网络捣乱行为

    随着 计算 机技术的推广，计算机安全技术也得到了广泛的应用，各种计算机安全软件随处可见。其中不乏功能强大且完全免费的网络安全软件，就是某些软件的共享版的功能也丝毫不可小看。在电力企业内部使用计算机的人员中，有很多计算机安全技术的爱好者。他们没有接受过系统的安全知识的学习，但是，很多网络安全软件的使用相当简单，只需点几下鼠标，就可以执行其强大的功能。而其使用者可能根本不知道这种行为所存在的危险性，也不知道目标机器的功能何在。

1.3网络病毒的传播

    计算机病毒对大家来说并不陌生，任何一个接触计算机的人可能都遭遇过病毒的危害。准确来讲，计算机病毒又可以分为两大种:一种是病毒，另一种称之为蠕虫。

    病毒是一个程序，‘段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从.个用户传送到另一个用户时厂白们就随同文件一起蔓延开来。除复制能力夕卜，某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。

    蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)对网络造成拒绝服务，以及和黑客技术相结合等等!

1.4恶意网页

    当我们的电力企业拥有了自己的网站，连接上了internet，每一个电脑使用者都在不断地点击各种网页，以寻找对自己有用的信息。这是我们不可避免的问题，但是，并不是所有的网页都是安全的。有的网站的开发者或是拥有者，为了达到某种目的，就会修改自己的网页，使之具有某种特殊的功能。例如:当我们不经意间，点击了某个网站的链接，发现我们的浏览器ie已经被改头换面，标题永远被换成了那个恶意网站的名称。通过正常的途径已经无法修改。还有的网页本身具有木马的功能，只要你浏览之后，你的机器就有可能被种下了木马，随之而来的就是你个人信息的泄露。

1.5各种软件本身的漏洞涌现

    软件本身的特点决定了它一定是个不完善的产品，会不断的涌现出不同严重程度的bug。随着软件的使用，使得软件所接触的条件日趋复杂，从而暴露出没有发现的自身缺陷。以我们熟悉的微软公司的windows系列操作系统为例，每隔一段时间，都会在微软的官方网站上贴出最近发现的漏洞补丁。

2电力 企业 网络 安全基本防范措施

    针对电力网络脆弱性，需要加强的网络安全配置和策略应该有以下几个方面。

2.1防火墙拦截

    防火墙是最近几年 发展 起来的一种保护 计算 机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制逾出两个方向通信的门槛。在网络边界上通过建立起相应的网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵人;针对电力企业的实际，我个人认为“防火墙十杀毒软件”的配置手段是比较合适的，但定期的升级工作是必须的，否则也只能是一种摆设。

    即便企业有了各种各样防火墙和杀毒软件的保护，企业系统管理员也不能够高枕无忧。为了预防意外的破坏造成信息丢失和网络瘫痪，有必要事先做好网络信息和系统的备份。当然，定期检验备份的有效性也非常重要。定期的恢复演习是对备份数据有效性的有力鉴定，同时也是对网管人员数据恢复技术操作的演练，做到遇到问题不慌乱，从容应付，提供有保障的网络访间服务。

    防火墙类型主要包括包过滤防火墙、防火墙和双穴防火墙。其中包过滤防火墙设置在网络层，可以在路由器上实现包过滤。这种防火墙可以用于禁止外部非法用户的访问，也可以用来禁止访问某些服务类型。防火墙又称应用层网管级防火墙，由服务器和过滤路由器组成，是目前教为流行的一种防火墙。双穴防火墙从一个网络搜集数据，并巨有选择的把它发送到另一个网络。

    合理的配置防火墙，是确保我们电力企业网络安全的首要选项。保证我们的网络之间的连接安全，不会在连接端口出现安全漏洞。

2.2用户管理机制

    计算机在网络中的应用，存在两种身份:一种是作为本地计算机，用户可以对本地的计算机资源进行管理和使用;另一种是作为网络中的一份子。高级的操作系统，都支持多用户模式，可以给使用同一台计算机的不同人员分配不同的帐户，并在本地分配不同的权限。在网络的服务器中安装的网络操作系统，更是存在严格的用户管理模式。微软的windows系列操作系统，从winnf开始，到win2000 server的用户管理日趋完善，从单纯的域管理，发展到活动目录的集成管理。在月朗民务器上我门可以详细规定用户的权限，有效地防止非法用户的登陆和恶意人侵。

2.3密码机制

    生活在信息时代，密码对每个人来说，都不陌生。在能源部门的主力军—电力企业的网络环境里，密码更是显得尤为重要。可以这样说，谁掌握了密码，谁就掌握了信息资源。当你失去了密码，就像你虽然锁上了门，可是别人却有了和你同样的门钥匙一样。

    特别将这个题目单独列出，是因为作为一个网络管理人员，深刻感觉到我们电力企业内部网络中，存在大量不安全的密码。比如弱口令:123, 000, admin等等。这些密码表面1二看是存在密码，但实际上用专用的网络工具查看的时候，很容易的就会被破解。某些网站和服务器的密码便是如此。

2.4升级

篇4

【关键词】信息化建设 信息安全 对策分析

在科技飞速发展的大环境下，信息化已经成为当今时代的发展趋势，企业信息化建设已经成为企业发展的必经之路，企业通过对信息化建设过程中的信息安全的探索，保证企业信息化建设过程中的信息安全与系统稳定，从而使企业在竞争中处于不败之地，让企业在工业化与信息化深度融合下，快速发展，与时俱进。

1 当前企业信息化建设中的信息安全问题

1.1 信息安全管理问题

目前企业的信息安全管理上存在的问题，首先，信息管理人员缺乏或者人员经验不足：计算机信息安全很大程度上取决于管理人才，调查显示，我国七成IT企业信息安全系统保障不足，主要原因是管理人员没有及时更新系统补丁程序、没有及时维护系统。企业信息安全是上不断完善的动态过程，需要不断对现有系统进行安全检查、评估，及时发现新的问题，跟踪最新安全技术，及时调整安全策略，增强企业信息安全性。其次，在企业的信息化建设中信息安全管理系统不完善，信息安全管理系统，如果没有一个很好的保障体系，会使得信息的管理错乱，无秩序，重复管理、漏管等现象发生，使得信息系统出现漏洞，安全性降低。最后，安全以人为本，如果管理不善，人为原因，造成的操作失误，误用或滥用关键、敏感数据或资源等导致信息丢失泄露，外部人员和硬件的商家等对于企业的系统有一定的了解，有权限合法访问，这也会造成信息的安全问题。

1.2 信息化建设中的硬件问题

近年来，由于信息化发展较快，企业信息化建设的成本也在不断提高，由于信息化建设投资大、回报慢，一些企业虽然有信息化建设的意愿，但是在实际投入上比较小，这就使得企业信息化建设过程中，企业的硬件设施跟不上时代的不发，导致企业信息化建设止步不前，计算机硬件设施的老化，对企业信息化建设过程中的安全问题存在这一定的隐患，而且，计算机的硬件决定着信息化建设的稳定性。另外在链路传输、网络设备（路由器、交换机、防火墙、通讯线路故障）等以及物量的一些不可抗力造成的地震、水灾、火灾等环境事故使系统毁灰。

1.3 信息化建设中的软件问题

（1）国内的软件水平与世界先进水平还存在较大的差距，更容易受到黑客和病毒的攻击。这样就会造成使用这些软件的企业信息化建设中存在信息安全问题。

（2）配置中存在的问题，很多的系统和应用软件在初装后会使用默认的用户名和口令以及开放的端口，而这些都容易造成信息的泄露。

（3）Web服务中的安全问题，www体系的主要特点是开放、共享、交互，这使得信息安全问题增加，安全漏洞多样，如果服务器的保密信息被窃取，信息系统就会受到攻击，获取Web主机信息，使机器暂时不能使用，使机器暂时不能使用，服务器和客户端之间的信息被监听等。

（4）路由器信息的不安全行为，路由器简单的密码或共享密码、安全功能没有设置会导致信息的泄露。

2 企业信息化建设中信息安全的对策

信息安全是企业信息化建设中的重要问题，只有保证信息的安全才能使企业在信息化建设中走得更远。企业在信息化建设进行信息安全的建设，主要可以从强化信息安全观念、加强硬件建设安全防护、提升软件建设安全措施三个方面进行。

2.1 强化信息安全观念

在企业信息化建设中，一旦企业信息被盗取或丢失，对企业肯定会造成损失甚至是致命的打击。要从企业的基层员工到管理者都要正确认识信息安全的重要性，强化信息安全的观念，提高信息安全意识，从思想上认识提高信息安全的必要性。

2.2 加强硬件建设安全防护

加强企业信息化建设过程中的硬件建设安全，首先要保证计算机的安全。企业的信息化建设离不开计算机，要保证计算机的安全就要对计算机进行定期的维护与保养，避免计算机在运行过程中出现突发性故障而导致企业信息的丢失。

另外，企业的信息化建设中，要加强网络硬件的建设。目前，市场上应用比较广泛的企业网络协议就是TCP/IP协议，硬件组成有服务器、通信设备、网络安全设备，主要应用技术是网络交换、网络管理、WEB数据库技术、防火墙等技术，同时还有支持网络运行的支撑系统，整个硬件建设安全、稳定、可靠。

2.3 提升软件建设安全措施

要解决企业信息化建设过程中的信息安全问题还需要加强企业信息系统的软件安全防御措施，要采用高性能的安全软件对系统进行防护，使用防护软件要使其发挥其价值所在，不要因小失大。目前，大多数企业的软件防护措施不到位，主要原因就在于软件防护措施不到位，例如企业在公共区域设置无密码的无线路由器，等于是向所有人公开企业的信息，安全无法保证。因此，企业在信息化建设过程中有必要采取高性能的安全防护软件来保证信息的安全。

3 小结

企业在信息化建O过程中的信息安全问题，有着很广泛的内容，企业信息化建设中信息安全的监控、维护等涉及的面比较广。在信息安全问题上主要应该以防护为主，从良好的管理开始，将信息安全风险扼杀在摇篮中，形成安全保障体系。信息时代，企业的信息化建设是企业发展和提高竞争力的基础，我国的企业信息系统长期处于不安全状态，没有足够认识到企业信息安全的重要性，希望通过本文的探索和论述，能够引起企业的关注，加强信息安全的防护。

参考文献

[1]艾戬.企业信息化建设中的信息安全探究[J].网络安全技术与应用，2015（03）.

[2]辛玉红.企业信息化建设中的信息安全问题[J].现代情报，2004（11）.

[3]马良.企业信息化建设中的信息安全问题[J].才智，2014（01）.

[4]张耀辉.关于企业信息化建设中的信息安全探讨[J].电子技术与软件工程，2013（14）.

[5]刘生堂.试论企业信息化建设中的信息安全问题[J].中国新通信，2015（22）.

篇5

【关键词】云安全技术 电力企业 应用

伴随着云计算建设的建设进行，智能电网信息安全问题开始慢慢的显现出来。所以，在智能电网云计算平台建设实施当中，需把信息安全在具体规划、基础建设、信息管理等方面加以重视，创建信息安全管理网络平台。这是目前我国广大电力企业亟待需要解决的问题。

最近几年，信息安全早已被看做与生产安全同等重要的事情。国网内部的信息违规、信息泄露安全事件的出现为我们敲响了警钟。怎样通过行之有效的信息管理以促使电力企业信息安全得到有效的保障，是目前信息网络管理工作人员面临的主要问题。然而，云安全技术的应用对我国电力企业的健康稳定发展注入了新的技术力量支持。

1 云安全的基本概念及发展状况

伴随着先进科学技术的迅速发展，云技术应运而生，但是，云安全问题也随之而来。在我国电力企业的发展过程当中，云安全是极为关键的一项内容。

其实，在现代化网络信息时代中，云安全是信息安全的最新展现，其是并行处理、网络技术、未知病毒行为的辨别等新兴科学技术与理念的一种结合体，利用网状式大量的客户端针对信息网络当中的软件行为的异常现象实施科学系统化的监测，以查出信息系统中潜藏的木马病毒、而已程序等，同时传输至Server端口实施自动式的浅析及系统化处理，同时将木马病毒的详细处理方案传送至另一个客户端中。

2010年8月，国网信通企业创建电力云仿真实实验室，同时在2011年开展了对云计算技术设备的研发及建设工作，其中包含有：云服务器、云终端、云计算软件、云安全软件、云数据挖掘软件等的研发。

2 电力企业中云安全技术的应用分析

在电力系统智能云的基本前提下，电力企业中实现了云安全技术的具体应用。智能云能够通过运用集群、分布式计算等体系性能把电力系统当中的网络全部的计算应用软件集中在一起，一同针对各级别的电网、计算机终端供应相关的数据存储及计算服务。这样便能够把集群性能、分布式处理等全部的综合在一起，利用软件接口，为电力系统各级电网与计算机终端供应智能云服务。

2.1 云安全技术系统

现代化的电路企业信息安全框架当中，各级电力企业在信息安全防护上有着非常充分的基础设施经验，各方面的信息安全措施也是比较到位的，可是，县级电力企业安全水准依然是比较落后的一个方面，在整个企业信息安全技术的应用上力量非常薄弱，所以，电力企业中云安全技术的应用能够很好的解决这一现实问题，并且能够在很大程度上促使企业信息安全性能得到显著的增加，做到电力企业信息安全网络在高效能的状态下稳定的运转下去。

通常，云安全包含了身份验证、操作系统、应用程序、应用服务器、网络防护、病毒防护体系等几大部分。

电力企业在应用具体的解决方案的时候一定要有相关的用户验证及明确授权的。云安全当中通常是通过在云中进行密钥分发服务器的具体设置，而服务器是按照国网、省网、市网来进行意义划分的，采用对称密钥与公考密钥的形式对广大用户进行认证与相关授权，上述产品便能够由广大用户自行加入、删除、配置密钥等。同时还能够给予不同角色不相同的权限以及用户具有的修改权限。密钥体系可促使广大用户能够得到准确的认真、辨别，以免会出现企业信息安全出现泄漏的情况。

云安全架构是通过对服务的共享来得以实现的，供应良好的标准桌面及应用，以此便能够在专属的服务器中供应更多的服务；应用服务器是将具体的应用分别发送至终端计算机的上面，由云端服务器集群来供应所需的全部计算能力。除此之外，云安全架构当中需放置所需的文件及相关数据的存储服务器。

网络防护与防病毒体系运用的是IDS架构对网络具体流量来进行监控的，网络当中的实时信息能够在第一时间上报到国网总部当中的网络运行控制中心，在有事故出现的状况下，便能够及时的将故障发生的位置做好精准的定位，同时采取相应的处理措施。防病毒体系运用的是发展比较成熟化的防护技术对病毒的传播进行及时的有效掌控，以促使电力企业信息网络处于安全的状态之中。

2.2 云安全技术的应用

通常，云安全体系的部署是遵循国网、省网及市网的层次进行一一部署的，各层电力企业的权限也会存在较为显著的差别。在整个云安全体系当中，需要制定统一的信息安全策略，电力企业信息安全网络当中的全部终端都能够在第一时间得到相应的更新处理，确保安全信息防护与科学防御措施达到严格化的统一。

通常，云安全系统会从完整度、机密性、可用性三个层次来进行信息安全的考虑的，其是对数据信息进行加密处理及数据方位的严格认证与授权的基础上来使得数据的机密性得到强有力的保障。通过不同的安全传输协议以促使数据机密性传输得到强有力的保障，通过对云安全中的各组配件的科学配置达到均衡负载及实现信息的可用性价值。

电力企业中云安全技术的应用皆是在云端完成的，在客户端不需要进行用户信息的保存，为此不需要担心服务器传输过程中会不会有数据丢失的问题发生。

云安全体系终端用户访问控制的安全性：云安全技术能够供应较为精准的访问控制，能够通过具体的安全措施打开或关闭USB端口，这些USB端口同时能够实现分级掌控，以确保连接的扫描仪、智能卡等得到正常的应用，可是大容量存储盘将会禁止使用，这样才能够促使一些敏感性质的数据在不经过U盘泄漏到外面，同时确保整个信息系统在安全的状态下顺利运行。

3 结束语

在不远的未来，智能电网必然会获得飞速的进步及发展，为此是需要一个健康的信息运行网络在作为支撑的，云安全技术作为一种非常先进的信息安全管理观念，将会在电力企业中得到非常广泛的有效应用，发挥其显著的作用。

参考文献

[1]王德文，宋亚奇，朱永利.基于云计算的智能电网信息平台[J].电力系统自动化，2012，22-34.

[2]孙德明，何正嘉.快速构建基于Web的远程测控系统[J].计算机工程与应用，2003（23）：l60-162.

[3]朱文凯，陶波，何岭松.基于Internet的嵌入式e-维护装置[J].测控技术，2002，21（6）：17-21.

[4]夏应高，朱秀昌.用于监控视频的滞留与搬移物体的检测算法[J].视频应用于工程，2008，32（12）：86-88.

篇6

[关键词]信息安全管理 评估模型 管理体系

中图分类号：P9.T3308 文献标识码：A 文章编号：1009-914X（2016）21-0400-01

1、 引言

随着信息化建设的发展，信息安全越来越多的受到人们的重视，企业信息安全重点面临的问题主要表现在[1]：1）网络受到外部的恶意攻击，部分单位无终端接入控制措施，使企业的正常业务无法开展或相关重要数据被盗取；2）网站受到黑客攻击，由于部分掌握网络技术的不法人员查询到破解网站所存在的漏洞，加以利用并篡改网站信息及获取网站管理权限，使得网站陷入瘫痪；3）信息的监管不利产生不良的影响，通常情况下信息没有主管部门负责审核导致监管不到位，那么不良信息就可能由于工作人员的疏忽而上传到网站上，造成不良影响；4）计算机病毒的危害，相关系统不及时更新补丁和升级，受到病毒入侵并加以利用，篡改应用系统信息或获取管理权限，使得应用系统丢失重要信息。

当前，有关信息系统的安全评价虽然存在着多种多样的具体实践方式，但在目前还没有形成系统化和形式化的评价理论和方法。评价模型基本是基于灰色理论（Gray Theory）或者模糊（Fuzzy）数学，而评价方法基本上用层次分析法AHP[2]（Analytic Hierarchy Process）或模糊层次分析法Fuzzy AHP[3]将定性因素与定量参数结合，建立了安全评价体系，并运用隶属函数和隶属度确定待评对象的安全状况。上述各种安全评估思想都是从信息系统安全的某一个方面出发，如技术、管理、过程、人员等，着重于评估网络系统安全某一方面的实践规范。在操作上主观随意性较强，其评估过程主要依靠测试者的技术水平和对网络系统的了解程度，缺乏统一的、系统化的安全评估框架，很多评估准则和指标没有与被评价对象的实际运行情况和信息安全保障的效果结合起来。

大型企业信息安全管理体系的研究，就是为了寻找一个科学、合理的管理体系，并根据该体系和方法对大型企业的信息安全状况和水平进行评价，对信息安全管理绩效进行考核。

2、 大型企业信息安全管理体系的内涵

通过管理体系的应用，将对大型企业信息安全产生非常重要的作用。一是可以对企业信息安全的水平做出客观的反应，认识企业信息安全存在的不足之处，发挥考评体系的指导作用，引导企业“信息安全”工作健康科学发展；二是可以为企业信息安全的建设指明方向，为信息安全的发展提供有力支撑；三是可以帮助企业管理者建立起一套科学的信息安全管理系统，有效控制信息化活动的进程，提高信息安全级别，减少因信息安全事件引起的损失，有利于正确引导和规范企业的信息化建设，指导企业科学发展具有重要的意义。

3、 大型企业信息安全管理体系的主要做法

为了大型企业信息安全管理体系的建立，提出了管理体系的目标：对于信息安全方面出现的问题，达到防范目的；对于信息安全工作进行查漏补缺，加强管理；通过评估体系的考核，落实相关信息安全文件、推进信息安全工作，为企业信息安全的建设指明方向，同时注重管理体系整体的时效性，根据信息安全发展的不同阶段进行及时更新。

1） 建立大型企业信息安全体系

信息安全体系总体设计。信息安全体系设计共分为三级，包含9个一级指标，14个二级指标，27个三级指标。一级指标和二级指标为共性指标，三级指标为数据采集项。一级指标包括：网络安全管理、环境安全管理、应用系统安全管理、数据安全管理、终端安全管理、操作安全管理、网络信息安全、移动信息化安全、服务器扫描情况。一级和二级指标结构图如下：

2）信息安全考评指标的权重设计

指标权重理论思路。具体权重根据德尔菲法[4]、层次分析法，结合政策导向确定。

管理体系的指标权重确定方法设计过程中，选取两组技术、管理等方面的专家，其中一组专家根据各指标在企业信息化中的重要程度，确定各指标的相对重要性，采用层次分析法确定各指标的权重。另外一组专家根据各指标在企业信息化中的重要程度，对各指标按百分制进行赋值，确定各指标的权重。综合两组专家的意见，初步确定各指标的权重，再组织专家研讨会，最终确定各指标的权重。

企业信息安全考评指标总分计算方法：

I=Σ（Pi*Wi） （1）

I表示指标体系的总得分；Pi表示第i个指标的得分，各指标得满分都是100分；Wi表示第i个指标的权重，所有指标权重的和为100%。

3）建设大型企业信息化评价管理系统

为了实施信息安全措施体系，以信息安全体系、信息安全文件和考评制度为基础，研发包括信息安全在内的大型企业信息化评价管理系统。通过使用该系统，将减轻信息化管理部门的负担，填报和汇总数据的效率显著提高，最为突出的是以上报数据为基础，可以自动、实时地形成各种统计、分析图表，从而完成以往需要信息化管理人员几天才能完成的大量统计工作，大大减轻了信息化管理部门的工作强度，增加了信息化管理部门对新情况快速反应能力。

系统整体架构由数据库层、框架服务层、应用逻辑层、界面表现层组成，系统部署了tomcat下运行的I@Report和BI@Report作为框架服务层，并在此基础上开发了业务系统。

系统主要实现了如下功能：

编码同步、基层权限管理、评价初始化、基层初评、数据提交、部门权限管理（含单位、指标项）、管理部门复评、信息稽核、数据计算、统计管理、查询管理、决策模型。

建立统一的数据报送平台，提高企业信息整合水平。

建立在线交流及公告平台。

系统根据建立的数学模型进行综合分析，可自动、实时地形成各种统计分析图表、报告等，例如：信息化评级、信息化水平评测报告。

4、 结束语

通过大型企业信息安全管理体系的实施，使企业信息化水平评估体系更加完善，在考评信息化建设水平的同时，又对信息安全水平等级有所提升。

参考文献

[1] 周学广，刘艺.信息安全学[M].北京：机械工业出版社，2003.

[2] 常建娥，蒋太立.层次分析法确定权重的研究[J].武汉理工大学学报，信息与管理工程版，2007，1（29）：153-156.

篇7

【关键词】电力信息；运行；维护；管理

前言

在全球信息化的推动下，计算机信息网络作用不断扩大的同时，对于管理信息系统的安全，除在系统设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强系统的安全管理。安全系统需要由人来计划和管理，任何系统安全设施也不能完全由计算机系统独立承担系统安全保障。诸多不安全因素恰恰反映在组织管理和人员因素方面。文章结合电力信息网络的安全风险，提出了供电企业的网络信息的安全与管理问题。

1、电力信息网络的安全分析

(1)计算机及信息网络安全意识薄弱。供电系统各种计算机应用对信息安全的认识距离实际需要差距较大，对新出现的信息安全问题认识不足。

(2)急需建立同供电行业特点相适应的计算机信息安全体系。相对来说，在计算机安全策略、安全技术和安全措施投入较少。为保证供电系统安全、稳定、高效运行，应建立一套结合电力计算机应用特点的计算机信息安全体系。

(3)联网的外部威胁。供电系统依据有关规定将网络分为信息内网和信息外网，信息内外网之间实行物理隔离。供电系统用户通过外网与互联网连接，必须要面对国际互联网上各种安全攻击，如网络病毒、木马和电脑黑客等。

(4)数据库数据和文件的明文存储保护不完善。供电行业应用系统基本上基于商业软硬件系统设计和开发，用户身份认证基本上采用口令的鉴别模式，而这种模式很容易被攻破。没有完善的数据备份措施。很多单位只是选择一台工作站备份一下数据就了事，没有完善的数据备份设备、没有数据备份策略、没有备份的管理制度，没有对数据备份的介质进行妥善保管。

2、供电企业的信息安全措施

供电系统的信息安全具有访问方式多样，用户群庞大、网络行为突发性较高等特点，信息安全问题需从网络规划设计阶段就仔细考虑，并在实际运行中严格管理。为了保障信息安全，采取的策略主要包括以下几个方面。

2．1加强电力信息网络安全教育

①为了保证信息安全的成功和有效，信息管理部门应当对企业各级管理人员、用户、技术人员进行信息安全培训，所有的企业人员必须了解并严格执行企业信息安全策略。②主管信息安全工作的负责人或各级管理人员，重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部的建立和管理制度的制定等。

2．2重视设备管理

重视设备管理是在企业网络规划设计阶段就应充分考虑安全问题。将一些重要的设备，如各种服务器、主干交换机、路由器等尽量实行集中管理；各种通信线路尽量实行深埋、穿线或架空，并有明显标记，防止意外损坏；对于终端设备，如工作站、小型交换机、集线器和其它转接设备要落实到人，进行专人严格管理；加强信息设备的物理安全，注意服务器、计算机、交换机等设备的防火、防盗、防水、防潮、防尘、防静电。

2．3重视技术管理

①防火墙技术。供电系统的生产、计量、营销、调度管理等系统之间，信息的共享、整合与调用，都需要在不同网段之间对这些访问行为进行过滤和控制，阻断攻击破坏行为，分权限合理享用信息资源。②虚拟局域网技术(VLAN技术)。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域，每一个VLAN都包含1组有着相同需求的计算机工作站，与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分，所以同一个LAN内的各工作站无须放置在同一物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。③数据与系统备份技术。供电企业的数据库必须定期进行备份，按其重要程度确定数据备份等级。配置数据备份策略，建立数据备份中心，采用先进灾难恢复技术，对关键业务的数据与应用系统进行备份，制定详尽的应用数据备份和数据库故障恢复预案，并进行定期预演。确保在数据损坏或系统崩溃的情况下能快速恢复数据与系统，从而保证信息系统的可用性和可靠性。④建立信息安全身份认证体系。供电企业面对来自内部和外部信息安全风险威胁，需建立有效的信息安全身份认证体系，实现网络危险过滤、终端准入、用户识别、上网授权等功能，警告或禁止检查不通过的终端访问企业内部资源，最终实现企业内网用户终端安全性的提升，达成企业整网上网安全性的保障。

3、当前信息系统运行管理的工作

3．1探索设备运行管理新方法

确保信息系统正常运行的一个前提条件是设备正常运行。信息设备多种多样，包括网络(交换机，路由器等)，主机服务器，防火墙等，各类又包括很多品牌和不同技术的设备，如何保证设备的正常运行，怎样做好信息设备的管理工作?

(1)购买必要的质保服务，适度控制风险。一方面设备老化会出问题，需要更新；另一方面，管理人员的技术力量不够，设备出现问题就要尽量控制它。

(2)加强设备的规范化管理。信息化设备管理处于刚刚起步阶段，大家对设备管理的经验不足，有必要向电网一、二次系统设备管理学习。

(3)建立设备运行预警体系。我国企业设备管理的一个重要发展趋势是以管理为中心替代以检修为中心，且逐步由预防维修、在线检修替代事后维修。

(4)做好数据备份工作。数据已经成为企业可持续性发展的重要环节，数据备份也是信息安全的最后一道保障。

(5)尽量由自己完成操作。管理人员根据服务厂商提供的操作步骤完成工作，可以提高管理人员的技术水平，更好地保护企业信息安全。

4、信息系统运行管理的绩效问题

企业追求的是经济效益，评价信息系统的效益需要建立企业的关键绩效指标(KPI)。信息系统运行管理，并不产生直接的经济效益，甚至是纯粹的消费，但是，关键应用系统的故障，给企业带来损失。

信息系统运行管理中的关键绩效指标主要有：1)关键应用系统的平均无故障时间；2)重要设备的平均无故障时间；3)信息安全度；4)应用系统的效益。

信息运行管理不产生直接的经济效益，运行管理工作常常被人们忽视，有必要从历史经验去寻找信息系统运行的效益。比如，SCADA系统不能正常使用，给企业带来的损失。营销系统或者95598系统不能正常使用，给企业带来的负面影响，网络中断或者病毒给企业带来的损失。从不同的方面、多个角度分析信息系统运行管理的经济效益，提高信息运行管理在企业中的地位。

篇8

【关键词】信息安全；影响因素；安全措施

1、引言

随着计算机网络的出现和互联网飞速发展，烟草企业基于网络信息系统也在迅速增加，现已运行的信息系统有生产经营决策管理系统、网上交易系统、工商营销协同系统、烟叶生产经营管理系统、公文远程传输系统、专卖准运证管理系统、专卖证件统计报送系统、数字仓储系统、用友财务管理系统、MES、ERP等。基于网络信息系统给企业的经营管理带来高效和便捷，但随之而来网络安全问题也在困扰着终端用户。木马、蠕虫等病毒传播使企业信息安全状况进一步恶化，这对企业信息安全管理工作提出了更高的要求。

2、信息系统应用所带来的网络安全问题

在烟草企业信息化发展的今天，计算机网络得到了广泛应用。互联网的开放性以及其他因素导致了网络环境下的信息系统存在很多安全问题，这些安全隐患主要可以归结为以下几点：

2.1物理安全

计算机网络物理安全是指人为对网络的损害，最常见的是企业的外来施工人员由于对地下电缆走向不了解，容易造成光缆电缆被破坏，引起网络安全故障；另外计算机用户由于缺乏相关的硬件知识，人为地非正常操作电脑，容易引起网络不安全事件发生。

2.2访问控制安全

网络安全系统的最外层防线就是网络用户登录，但是随着企业内部计算机连接的日益广泛，内部访问与外部远程访问技术的日益开放，计算机用户的访问控制安全越来越薄弱，容易造成计算机用户重要资料泄露等安全事故。

2.3数据传输安全

对于缺少安全防患的计算机用户来说，在实现计算机数据交互的过程中，数据保密是很容易被侵犯的。特别是随着黑客攻击手段的不断更新、升级，计算机用户的数据传输安全面临着极大地威胁。

2.4病毒隐患

只要有程序，就有可能存在补丁，甚至安全工具和系统工具本身也可能存在安全的漏洞。几乎每天都有新的病毒被发现，甚至有不法者恶意传播病毒，导致病毒与杀毒大战不断升级，计算机病毒成为网络安全的一个长久隐患。

2.5移动存储介质的风险

U盘、移动硬盘等移动存储介质使用非常普遍，大量企业秘密信息通过移动介质存储传播。移动介质不受控，管理难度大，形成泄密隐患；另一方面外来人员带来移动存储介质接入企业内网不受限制，存在着恶意复制企业信息或将计算机病毒、间谍软件等恶意程序传入内网的安全风险。

3、信息安全防御体系设计原则

重视信息安全工作。技术先进、管理高效、安全可靠的信息安全防御体系是信息系统运维的一个重要防御。安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则，在各级信息中心指导下，对企业信息安全工作进行系统部署和推进，避免重复投入、重复建设，充分考虑整体和局部的利益。

3.1标准化原则

构建信息安全防御体系要按照国家法规、标准、烟草行业标准及规定执行，使安全技术体系建设达到标准化、规范化的要求，为拓展、升级和集中统一管理打好基础。

3.2系统化原则

信息安全防御体系是一个复杂的系统工程，从信息系统各层次、安全防范各阶段全面地进行设计，既注重技术实现，又要加大管理力度，以形成系统化解决方案。

3.3规避风险原则

信息安全防御体系建设涉及网络、系统、应用等方方面面，任何改造，都可能影响现有网络畅通或者在用系统连续、稳定运行，这是安全技术体系建设必须面对的最大风险。在规划设计与应用系统衔接的基础时，优先保证透明化，从提供通用安全基础服务的要求出发，设计并实现安全系统与应用系统的平滑连接。

3.4保护投资原则

由于信息安全理论与技术发展的历史原因和企业自身的资金能力，分期、分批建设一些整体的或区域的安全技术系统。保护信息安全投资效益的基本原则，在合理规划、建设新的安全子系统或投入新的安全设施的同时，对现有安全系统采取了完善、整合的办法，以使其纳入总体安全技术体系，发挥更好的效能，而不是排斥或抛弃。

3.5多重保护原则

任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可以保护其信息安全。

4、构建信息安全防御体系

4.1做好信息系统风险评估

贯彻落实《烟草行业信息安全防御体系建设指南》，构建“组织机制、规章制度、技术架构”三位一体的信息安全防御体系，必须做到信息安全工作与信息化建设同步规划、同步建设、协调发展。

俗话说：三分技术，七分管理。信息安全设备是网络安全建设的防护基础，网络安全管理将使得网络安全产品能真正发挥作用。烟草企业首先要构建以信息管理部门专业技术人员为核心，以各部门系统管理员、系统操作员为辅助的三级管理运维体系。将信息安全技术和管理二者有机地结合起来，消除网络技术壁垒。其次优化企业局域网资源，实现网络设备的全网监控管理，进一步提升网络统一性及网络安全管理水平。

4.2采取各种安全技术，实现不同安全防护策略

企业信息系统应采用各种安全技术，构筑信息安全防御体系。采用的主要安全技术有：

（1） 防火墙技术：在网络的对外接口，采用防火墙技术，在网络层进行访问控制。

（2） VLAN及ACL技术：企业内网的各类交换机上配置VLAN，实现对交换机设备管理、交换机设备间三层互联管理、各类应用业务的业务VLAN管理和相互间访问控制。

（3） VPN：虚拟专用网（VPN）是企业内网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接，为厂家远程维护企业信息系统提供网络连接服务。

（4）网络加密技术（Ipsec） ：采用网络加密技术，对公网中传输的IP包进行加密和封装，实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题，也可解决远程用户访问内网的安全问题。

（5）端点准入访问控制：采用H3C的EAD端点准入访问控制系统，它是基于用户名和密码身份与接入主机的MAC地址、IP地址、所在VLAN、接入交换机IP、交换机端口号等信息进行绑定认证，增强身份认证的安全性，确保只有合法用户和客户端设备才可访问企业局域网。防止人为私改IP地址，造成IP地址冲突现象的发生。

（6） 企业级的防病毒系统：采用企业级的网络防病毒服务器，安装正版杀毒软件，对病毒实现全面的防护。同时采用漏洞扫描技术，对内网中主机及时更新漏洞补丁，保证信息系统尽量在最优的状况下运行。

（7）网络的实时监测：采用入侵检测系统，对主机和网络进行监测和预警，进一步提高网络防御外来攻击的能力。

（8）CA安全体系：采用国家局推荐CA认证产品，建立行业二级CA认证体系。通过基于数字证书的身份认证、访问控制、权限管理等技术措施，实现高强度的身份认证和责任认定机制；保证数据的完整性和保密性，确保用户来源和行为的真实性和不可否认性。

（9）加强信息安全教育：信息系统运维、操作人员要认识到信息安全的重要性和必要性，加强信息安全理论、技能培训学习，纠正日常工作中不规范行为，防御系统安全、稳定运行。

（10）加强企业外来人员上网管理：严格管理企业外来人员上网行为，防止外来人员笔记本电脑、移动存储介质任意接入企业内网，恶意复制企业信息或将病毒、间谍软件等恶意程序传入内网的安全风险。

总之，只要将信息安全设备和信息技术人员二者紧密结合起来，发挥企业信息技术人员主观能动性，就能将网络隐患消灭在萌芽状态。

参考文献

[1]蔡立军，《计算机网络安全技术》，中国水利水电出版社，2002年6月，第1版

篇9

关键词：电力企业；信息网络；安全问题；对策

Abstract: The information security of the power companies directly related to the survival and development of business, network security is also a threat to the power system security and stability, economic, efficient, high-quality operation; this paper discussed the problems and the formation in the enterprise information network security, proposed countermeasures from both technical and management.Key words: power companies; information network; security issues; countermeasures

中图分类号：TM711 文献标识码：A文章编号：2095-2104（2012）02-

随着整个电网的信息化水平的不断提高，信息网络技术广泛应用于电力调度、生产和管理之中。各种应用系统（如协同办公、PMS、ERP、OMS、GIS、营销管理系统等）在电力企业的广泛使用和大集中，最终形成了整个电力广域网络。它们在促进电力信息化水平的提高、提高企业生产效率、增强了电力企业的市场竞争力的同时，也给电力企业的信息安全带来一些隐患。

一、概述

目前我国的电网基本上实现了全国性电网体系，这种电网是以大电网、大机组、自动化控制、高压输电为主要特征的。各种长途光缆干线、高速广域网和宽带城域网等正在电力通信网络中进行广泛的建设。这也要求电力通信网络覆盖全国，为信息的快速传递提供支持，网络技术的广泛应用，使电力信息网络的不断延伸和扩大，特别是电力企业网和INTERNET的互联都对电力信息网络的安全提出了更高的要求。电力企业信息网络的结构如图1所示，可以看出，如果网络中的任何一个环节出现问题，都会给信息网络带来严重的问题。

二、电力企业信息网络安全存在的问题

电力企业信息安全存在的问题是多种多样的，可能是“黑客”的攻击，也可能由于技术人员的能力不够而引起的误操作；有可能是内部人员的恶意操作和破坏，也可能是外来攻击者对信息系统资源的非法占有和使用，或者改变信息系统的数据。

1．基础设施的安全

基础设施的安全又称为物理安全，主要是电力的基础设施长期在露天的环境下工作，这些设施可能是因为电磁场、狂风、地震、雷电等环境因素改变，以及其他人为素而出现物理损坏，导致网络出现故障，造成数据在传输的过程中出现错误，信息的丢失等情况。这种由于各种自然灾害、电磁辐射、恶劣场地环境、电磁干扰、网络设备老化等不可抗逆的因素造成的损坏往往是是不可预测的，会直接影响电力企业信息的安全。

2．信息安全意识薄弱

由于电力企业员工众多，每个人的信息素养层次不一样，对信息的安全认识不够，目前，企业中大量员工对网络信息安全认识不足。例如将用户名和密码设置的过于简单，容易被窃取，或与别人共享信息资源，内部人员的误操作等等都会对网络安全带来威胁。员工的违规外联、存储介质内外网的交叉使用，会导致病毒的入侵，从而破坏信息系统的数据。员工随意点击网上来历不明的网页、垃圾邮件或各种恶意程序等，比如游戏、聊天、视频、P2P下载等等，上班时间玩电脑游戏，这些行为无疑会浪费网络资源、降低劳动生产率、增加企业运营成本支出，并有可能因为不良的网络访问行为导致企业信息系统被入侵和机密资料被窃，都会使企业的网络收到病毒的攻击，造成企业网络拥塞瘫痪，甚至系统崩溃，造成难以弥补的巨大损失。

3．人为的恶意攻击

人为的恶意攻击可以分为以下两种：一种是主动攻击，攻击者通过攻击系统的要害或弱点，破坏企业信息系统，如篡改、删除商务信息流的内容等，它以各种方式有选择地破坏信息的机密性、可用性和完整性，给企业造成不可估量的损失；例如病毒、蠕虫、恶意代码、垃圾邮件、间谍软件、流氓软件等等很容易通过各种途径侵入企业的内部网络，就属于病毒主动攻击的范畴。另一类是被动攻击，它是在不影响网络正常工作的情况下，监听网络上传递的信息流，从而获得信息的内容，造成企业内部信息外泄。不安装杀毒软件；安装杀毒软件但未能及时升级；网络用户在安装完自己的办公桌面系统后未进行各种有效防护措施就直接连接到危险的开放网络环境中，特别是Internet；移动用户计算机连接到各种情况不明网络环境后，在没有采取任何措施的情况下又连入企业内部网络。

4．操作系统的不稳定性和企业网络的拓展给信息安全带来的威胁

以windows操作系统为代表的各种操作系统在实际的运行中，不断地被发现漏洞，相应的蠕虫病毒就会利用系统的漏洞对系统进行攻击，在目前电力企业信息安全人员不足、安全意识不强的情况下，该打补丁的没打，该安装杀毒软件的没安装。这种系统的不稳定性也会给企业的信息安全带来问题。随着企业的不断发展，形成企业异地分支机构、移动办公人员等多样的企业运营模式，如何处理这些部门和工作人员之间的信息共享和防止机密的泄漏的信息安全问题，提高企业的工作效率，已成为电力企业成长发展过程中必须解决的问题。

三、信息网络系统安全措施

自从网络诞生以来，在网络安全问题上就不断的存在攻与防的一对矛盾。由于科技的迅速发展，对电力企业信息网络这样一个年轻的网络来说，它所面临的安全威胁是比较严重的，非法用户所使用的攻击手段也十分高超；但反过来说我们可以应对的手段也是十分先进的，包括先进的企业版防火墙、先进的密码编码方式和算法等都可以有效防御网络上的安全威胁。

1.建立信息安全体系结构框架

建立数据备份中心，结合电力行业计算机应用的特点，选择合理的备份设备和备份系统，根据其应用的特点，制定相应的备份策略。按信息安全对网络系统安全稳定运行、生产经营和管理及企业发展所造成的危害程度，确定计算机应用系统的安全等级，制定网络系统信息安全控制策略，建立适应电力企业发展的网络系统信息安全体系，利用现代网络及信息安全最新技术，研究故障诊断、处理及系统优化管理措施，在不同条件下提供信息安全防范措施。

2.提高企业员工的信息安全意识

建立网络系统信息安全身份人证体系，建立企业的CA机构，对企业员工上网用户统一身份认证和数字签名等安全认证。科学安全的设置和保管密码，一旦密码被泄漏，非法用户可以很轻易的进入系统：由于穷举软件的流行，Root的密码要求最少要10位，一般用户的密码要求最少要8位，并且应该用英文字母大小写以及数字和其他符号进行不规则的设置。为了使计算机及信息网络系统操作人员熟练掌握各种异常或故障处理措施，在信息中心应建立离线与在线相结合的仿真培训中心。一方面可以使现有人员对各类设备与系统，避免误操作事故的发生。另一方面对现有系统进行安全检测，提出反事故措施，对可能出现的各种异常与事故，进行仿真模拟试验与分析，形成若干技术研究报告和处理预案。

3.建立网络级计算机病毒防范体系

按其信息网络管辖范围，分级进行防范计算机病毒的统一管理，设立计算机病毒防控管理中心，对企业的信息网络进实时监控。建立信息网络系统安全监测中心，以信息安全监测系统可模仿各种黑客的攻击方法，不断测试信息网络安全漏洞，完善系统配置，消除漏洞并可实现实时网络违规、入侵识别和响应。定期对企业信息网络进行安全检查和病毒扫描，对相关重要数据进行备份以及在全网络范围内建立一套科学的安全管理体系，对企业信息网络的安全运行有着很重要的意义。

4.加强电力基础设施的安全防护工作

配备灾难恢复系统，防止意外的发生。加强对室外物理硬件的管理和维护，在条件许可的情况下，尽量将室外的基础设施转移到室内，以延长设备的使用寿命，对一些重要的实时应用系统在具备条件的前提下进行异地的数据与系统备份，提供系统级容灾功能，保证在规模灾难情况下，保持系统业务的连续性。建立完善的网络及系统安全管理制度，保证不出现人为的安全隐患。

四、结束语

在拥有先进反黑手段的前提下，对于网络安全问题来说最重要的应该是网络安全思想，可以说有好的安全思想可以避免绝大多数的安全问题。在网络上，可以说每台计算机都存在或多或少的安全问题。我们一般比较重视防火墙、杀毒软件等等，其实我们更应该重视安全思想意识。据统计，全球每年所产生的网络安全问题，其中绝大多数都是因为人员的疏忽所致。所以安全思想意识应放在网络安全的首要位置。

参考文献

[1]黄中伟.计算机网络管理与安全技术[M]．北京：人民邮电出版社．2006．

[2]李文武，王先培，孟波等. 电力行业信息安全体系结构初探[J].中国电力，2008,(5).

[3]潘明惠,偏瑞琪,李志民. 电力系统信息安全应用研究[J].中国电力,2010(5).

篇10

关键词：电力；信息安全；解决方案；技术手段

一、电力信息化应用和发展

目前，电力企业信息化建设硬件环境已经基本构建完成，硬件设备数量和网络建设状况良好，无论是在生产、调度还是营业等部门都已实现了信息化，企业信息化已经成为新世纪开局阶段的潮流。在网络硬件方面，基本上已经实现千兆骨干网；百兆到桌面，三层交换；VLAN，MPLS等技术也普及使用。在软件方面，各应用十要包括调度自动化系统、生产管理信息系统、营销信息系统、负荷监控系统及各专业相关的应用子系统等。计算机及信息网络系统在电力生产、建设、经营、管理、科研、设计等各个领域有着十分广泛的应用，安全生产、节能消耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益，同时也逐步健全和完善了信息化管理机制，培养和建立了一支强有力的技术队伍，有利促进了电力工业的发展。

二、电力信息网安全现状分析

结合电力生产特点，从电力信息系统和电力运行实时控制系统2个方面，分析电力系统信息安全存在的问题。电力信息系统已经初步建立其安全体系，将电力信息网络和电力运行实时控制网络进行隔离，网络间设置了防火墙，购买了网络防病毒软件，有了数据备份设备。但电力信息网络的安全是不平衡的，很多单位没有网络防火墙，没有数据备份的概念，更没有对网络安全做统一，长远的规划，网络中有许多的安全隐患。**供电公司严格按照省公司的要求，对网络安全进行了全方位的保护，防火墙、防病毒、入侵检测、网管软件的安装、VerJtas备份系统的使用，确保了信息的安全，为生产、营业提供了有效的技术支持。但有些方面还不是很完善，管理起来还是很吃力，给网络的安全埋伏了很多的不利因素。这些都是将在以后急需解决的问题。

三、电力信息网安全风险分析

计算机及信息网络安全意识亟待提高。电力系统各种计算机应用对信息安全的认识距离实际需要差距较大，对新出现的信息安全问题认识不足。

缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一+直非常重视，但由于各种原因，目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。

急需建立同电力行业特点相适应的计算机信息安全体系。相对来说，在计算机安全策略、安全技术和安全措施投入较少。为保证电力系统安全、稳定、高效运行，应建立一套结合电力计算机应用特点的计算机信息安全体系。

计算机网络化使过去孤立的局域网在联成广域网后，面临巨大的外部安全攻击。电力系统较早的计算机系统一般都是内部的局域网，并没有同外界连接。所以，早期的计算机安全只是防止外部破坏或者对内部人员的安全控制就可以了，但现在就必须要面对国际互联网上各种安全攻击，如网络病毒、木马和电脑黑客等。

数据库数据和文件的明文存储。电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。以明文形式存储的信息存在泄漏的可能，拿到存储介质的人可以读出这些信息；黑客可以饶过操作系统，数据库管理系统的控制获取这些信息；系统后门使软硬件系统制造商很容易得到这些信息。弱身份认证。电力行业应用系统基本上基于商业软硬件系统设计和开发，用户身份认证基本上采用口令的鉴别模式，而这种模式很容易被攻破。有的应用系统还使用白己的用户鉴别方法，将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中，这种脆弱的安全控制措施在操作人员计算机应用水平不断提高、信息敏感性不断增强的今天不能再使用了。没有完善的数据备份措施。很多单位只是选择一台工作站备份一下数据就了事，没有完善的数据备份设备、没有数据备份策略、没有备份的管理制度，没有对数据备份的介质进行妥善保管。

四、电力信息网安全防护方案

4．1加强电力信息网安全教育

安全意识和相关技能的教育是企业安全管理中重要的内容，其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效，高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。在安全教育具体实施过程中应该有一定的层次性和普遍性。

主管信息安全工作的高级负责人或各级管理人员，重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部¨的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员，重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。

信息用户，重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。当然，对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并纳入整个企业文化体系中才是最根本的解决办法。

4．2电力信息髓安全防护技术措旌

(1)网络防火墙：防火墙是企业局域网到外网的唯一出口，所有的访问都将通过防火墙进行，不允许任何饶过防火墙的连接。DMZ区放置了企业对外提供各项服务的服务器，既能够保证提供正常的服务，又能够有效地保护服务器不受攻击。设置防火墙的访问策略，遵循“缺省全部关闭，按需求开通的原则”，拒绝除明确许可证外的任何服务。

(2)物理隔离装置：主要用于电力信息网的不同区之间的隔离，物理隔离装置实际上是专用的防火墙，由于其不公开性，使得更难被黑客攻击。

(3)入侵检测系统：部署先进的分布式入侵检测构架，最大限度地、全天候地实施监控，提供企业级的安全检测手段。在事后分析的时候，可以清楚地界定责任人和责任时间，为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术，具有高可靠性、高识别率、规则更新迅速等特点。

(4)网络隐患扫描系统：网络隐患扫描系统能够扫描网络范围内的所有支持TCP／IP协议的设备，扫描的对象包括扫描多种操作系统，扫描网络设备包括：服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时，可以从网络中不同的位置对网络设备进行扫描。

扫描结束后生成详细的安全评估报告，采用报表和图形的形式对扫描结果进行分析，可以方便直观地对用户进行安全性能评估和检查。

(5)网络防病毒：为保护电力信息网络受病毒侵害，保证网络系统中信息的可用性，应构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心，对整个网络部署查、杀毒，服务器通Internet从免疫中心实时获取最新的病毒码信息，及时更新病毒代码库。同时，选择的网络防病毒软件应能够适应各种系统平台、各种数据库平台、各种应用软件。

(6)数据加密及传输安全：通过文件加密、信息摘要和访问控制等安全措施，来实现文件存储和传输的保密和完整性要求，实现对文件访问的控制。对通信安全，采用数据加密，信息摘要和数字签名等安全措施对通信过程中的信息进行保护，实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全，通过VPN技术，提高实时的信息传播中的保密性和安全性。

(7)数据备份：对于企业来说，最珍贵的是存储在存储介质中的数据信息。数据备份和容错方案是必不可少的，必须建立集中和分散相结合的数据备份设施及切合实际的数据备份策略。

(8)数据库安全：通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性，并实现数据库数据的访问安全。

4．3电力信息网安全防护管理措施

技术是安全的主体，管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中，网络安全的长期性和稳定性才能有所保证。

(1)要加强信息人员的安全教育，保持信息人员特别是网络管理人员和安全管理人员的相对稳定，防止网路机密泄露，特别是注意人员调离时的网络机密的泄露。

(2)对各类密码要妥善管理，杜绝默认密码，出厂密码，无密码，不要使用容易猜测的密码。密码要及时更新，特别是有人员调离时密码一定要更新。

(3)技术管理，主要是指各种网络设备，网络安全设备的安全策略，如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。

(4)数据的备份策略要合理，备份要及时，备份介质保管要安全，要注意备份介质的异地保存。

(5)加强信息设备的物理安全，注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。

(6)注意信息介质的安全管理，备份的介质要防止丢失和被盗。报废的介质要及时清除和销毁，特别要注意送出修理的设备上存储的信息的安全。

五、电力信息网络安全工作应注意的问题

(1)理顺技术与管理的关系。

解决信息安全问题不能仅仅只从技术上考虑，要防止重技术轻管理的倾向，加强对人员的管理和培训。

(2)解决安全和经济合理的关系。安全方案要能适应长远的发展和今后的局部调整，防止不断改造，不断投入。

(3)要进行有效的安全管理，必须建立起一套系统全面的信息安全管理体系，可以参照国际上通行的一些标准来实现。

(4)网络安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，都会导致全网的安全问题，应该用系统工程的观点、方法，分析网络的安全及具体措施。